IPA(情報処理推進機構)は、中小企業の情報セキュリティ対策の現状を調査しまとめた「2024年中小企業における情報セキュリティ対策の実態調査報告書」速報版をまとめた。約7割の企業が組織的なセキュリティ体制が整備されておらず、サイバー攻撃の被害を受けた企業の7割は取引先にも影響を及ぼしてしまった等の結果を得、前回調査に比べて情報セキュリティ対策の実施状況はわずかに改善した程度で、さらなる対策の必要性が求められるとした。
サイバー攻撃被害の実態
2023年度にサイバー攻撃の被害を受けたと回答した企業は975社。このうち35%が「データを破壊」「個人情報を漏洩」されたとし、過去3期で平均73万円の被害が発生した。100万円以上の被害額があった企業も9%おり、最大で1億円の被害を受けた企業もあった。繰り返し攻撃を受けた企業もあり、最大40回も被害に遭った企業もあった。復旧には平均で5.8日かかり、ほぼ丸1年かかったという企業もあった。サイバー攻撃というと大企業の被害が目立つが、中小企業でも甚大な被害が起きていることがわかる。
また、被害企業のうち、不正アクセスを受けた企業は419社。その侵入経路は、48%が「脆弱性をつかれた」、36%が「ID・パスワードを騙し取られた」とし、さらに「取引先やグループ会社等を経由して侵入された」パターンも19%あり、サプライチェーン上のリスクがあることも分かる。不正アクセスによる被害は「自社Webサイトのサービス停止、または機能の低下」が22%、「業務サーバのサービス停止、または機能の低下」が20%となり、「自社Webサイトの改ざん(16%)」、「業務サーバ内容の改ざん(15%)」などが続いた。
さらに、被害企業のうち7割が「取引先にも影響があった」とし、被害の影響範囲は自社にとどまっていない。影響の中身は「取引先にサービスの停止や遅延による影響が出た」「個人顧客への賠償や法人取引先への補償負担の影響が出た」が32%で多く、「原因調査・復旧に関わる人件費等の経費負担があった」も23%あり、セキュリティの不備が事業継続性を危うくする恐れもある。
セキュリティ対策の実情
回答企業のうち、7割の企業が組織的なセキュリティが整備されておらず、「専門部署がある」とした企業は9%。前回調査に比べて増加はしているが、「組織的対策を行っていない(各自対応)」が圧倒的多数となっている。
また情報セキュリティ対策に対する投資も少なく、過去3期で投資をしていない企業が62%に上った。しかも前回調査の2021年度には33%だったのが倍近くに跳ね上がった。投資を行わなかった理由については「必要性を感じていない」が44%、「費用対効果が見えない」(24%)、「コストがかかりすぎる」(21%)などとなっており、中小企業には対策する余裕がなく、関心・危機感も薄いないことが分かる。
セキュリティは金にならない、受注とは関係ないと思われている一方で、セキュリティ対策投資を行っている企業のうち約5割が取引につながったとし、セキュリティ対策を行うことで信用を得て受注を獲得・金にしている企業も存在する。
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業は511社に上り、うち40%が対策を行ったことが取引につながったと回答。さらに、過去に対策を行った企業のうち、49%が発注元からの要請で対策を行ったことが取引につながったとし、セキュリティ対策と受発注には相関関係があることは明確になっている。
同調査は、中小企業等における情報セキュリティ対策の実態を明らかにする目的で行われ、今回は2016年度と2021年度に続く3回目。全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査したもの。詳細報告書は2025年4月ころの公開を予定している。
https://www.ipa.go.jp/pressrelease/2024/press20250214.html#topics_08
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
